Článek
FinFisher byl v minulosti označován také jako FinSpy nebo Wingbird. V každém případě jde ale o pokročilý sledovací nástroj, který dovede shromažďovat různá oprávnění, výpisy souborů, smazané soubory nebo různé dokumenty, živě přenášet nebo nahrávat data a získat přístup k webové kameře a mikrofonu.
Před třemi lety to vypadalo, že se po něm slehla zem. Řešení společnosti Kaspersky však později detekovala podezřelé instalátory legitimních aplikací, jako jsou TeamViewer, VLC Media Player a WinRAR.
Na internetu se prodávají data 3,8 miliardy uživatelů Facebooku a Clubhousu
„Tyto instalátory obsahovaly škodlivý kód, který nebylo možné ztotožnit s žádným známým malwarem, tedy až do chvíle, kdy byla objevena webová stránka v barmštině, která obsahovala infikované instalační programy a vzorky FinFisheru pro Android, což pomohlo identifikovat, že se jedná o trojské koně se stejným spywarem. Tento objev přiměl výzkumníky společnosti Kaspersky k dalšímu zkoumání FinFisheru,“ upozornil Igor Kuzněcov, hlavní bezpečnostní analytik v týmu GReAT, který je součástí společnosti Kaspersky.
Vylepšený záškodník má nyní dvě klíčové komponenty – neperzistentní prevalidátor a postvalidátor. „První komponenta provádí několik bezpečnostních kontrol, aby se ujistila, že infikované zařízení nepatří bezpečnostnímu výzkumníkovi. Teprve když jsou tyto kontroly úspěšné, je ze serveru načten postvalidátor. Tato komponenta zkontroluje, že jde o zařízení oběti, která má být infikována. Teprve poté vydá server příkaz k nasazení plnohodnotné platformy trojského koně,“ konstatoval Kuzněcov.
„FinFisher je silně obfuskován pomocí čtyř komplexních, na míru vytvořených obfuskátorů. Hlavním účelem obfuskace, neboli znečitelnění kódu programu, je ztížit a zpomalit analýzu spywaru. Kromě toho trojský kůň využívá také zvláštní způsoby shromažďování informací, například vývojářský režim v prohlížečích pro zachycení provozu chráněného protokolem HTTPS,“ doplnil bezpečnostní expert.
Nahradí zavaděč Windows
Analytici podle něj také objevili vzorek FinFisheru, který nahradil zavaděč UEFI systému Windows – jde o komponentu, která spouští operační systém po startu firmwaru spolu se škodlivým kódem. „Tento způsob infekce umožnil útočníkům nainstalovat bootkit, aniž by bylo nutné obcházet bezpečnostní kontroly firmwaru. Infekce UEFI jsou velmi vzácné a obecně obtížně proveditelné, jejich předností je perzistence a nesnadná detekce,“ prohlásil Kuzněcov.
„Množství práce vynaložené na to, aby FinFisher unikal bezpečnostním výzkumníkům, je velmi znepokojivé a svým způsobem působivé. Zdá se, že vývojáři vložili do obfuskace a opatření proti analýze přinejmenším tolik úsilí jako do samotného trojského koně. Výsledkem je, že díky svým schopnostem vyhnout se jakékoli detekci a analýze je tento spyware mimořádně obtížné sledovat a odhalit,“ zdůraznil bezpečnostní expert.
„Skutečnost, že tento spyware útočí s vysokou přesností a prakticky se nedá analyzovat, také znamená, že jeho oběti jsou obzvláště zranitelné a výzkumníci čelí neobyčejné výzvě – do analýzy každého vzorku musí investovat ohromné množství prostředků. Komplexní hrozby, jako je FinFisher, ukazují, jak je důležité, aby bezpečnostní výzkumníci spolupracovali, vyměňovali si poznatky a také investovali do nových typů bezpečnostních řešení, která dokážou proti takovým hrozbám bojovat,“ uzavřel Kuzněcov.
Může se vám hodit na Seznamu:
